addslashesの挙動は、mysql_set_charset()を使おうが、SET NAMESしようが、
変わらない。だから、NucleusコアのSQLインジェクションに対する強度は変わらない。
ところが、一部のプラグインがmysql_real_escape_string()を使っていて、これが問題になる。
どういうときに問題が起こるかと言うと、例えばMySQLのデフォルトエンコーディングが
Shift JISに設定されているケース(Big5/GBKでも同様)。このケースで、SET NAMES
の後にmysql_real_escape_string()を使っていれば、SQL インジェクションが起こりうる。
これが、私が1%と言った環境。残りの99%は、デフォルトエンコーディングがLatin1
かEUC-JPになっている環境で、この場合はmysql_set_charset()を使ってもSET NAMES
を使っても、mysql_real_escape_string()の挙動は変わらないはず。